Download El yin y yang - Privacidad de Datos

Administración de riesgo
El yin y yang de la
privacidad y protección de
datos de los clientes.
En este punto de vista, se abordan los desafíos
que las organizaciones enfrentan con la
necesidad de proteger la privacidad de los
datos de sus clientes y las regulaciones
existentes en Panamá al respecto.
RISCCO Punto de vista
En este punto de vista
Introducción: De la filosofía oriental a la privacidad
2
Los incidentes de seguridad se abren paso frente a la
legislación
3
¿Cómo enfrentar el problema de privacidad?
4
Introducción: De la filosofía oriental a la privacidad
El yin y yang, según la filosofía oriental, son dos fuerzas
aparentemente opuestas y que se complementan. Una no puede
existir sin la otra. Por ejemplo: día/noche, riqueza/pobreza, vida/muerte.
Además, indica que ambas fuerzas duales y universales se encuentran
en todas las cosas y en todo lo que hacemos.
Siguiendo esta línea de pensamiento, la privacidad y protección de los
datos, ya sean de sus clientes o de la compañía, también tienen su yin
y yang.
Clasificación de datos – representa todo lo relacionado con
determinar qué dato es confidencial o público, regulaciones y
legislaciones existentes con las que se debe cumplir.
Estructuras de soporte – seguridad de redes, software de
encriptación de datos, controles de accesos, políticas, procesos y
procedimientos de seguridad.
Si deseamos establecer una filosofía en la organización para la
privacidad y protección de datos, tanto la clasificación de datos y las
estructuras de soporte, deben complementarse y coexistir.
Lamentablemente es frecuente observar en las corporaciones algunas
de las siguientes situaciones:
•
Se tiene preocupación por el tema, pero no se logra dimensionar el
problema y su impacto en la organización. Consecuentemente, un
plan para abordar el tema siempre presenta atrasos.
•
Se considera que el tema es algo del radar de acción del grupo de
tecnología y/o seguridad de información, en lugar de advertir que
francamente es sobre administración de riesgo y cumplimiento.
•
Se piensa que el problema se resuelve con solo adquirir
herramientas de “encriptación de datos” y se olvidan de clasificar
los datos, de las regulaciones y de las estructuras de soporte.
•
Inexistencia de programas formales de educación sobre la
privacidad y protección de datos a los colaboradores.
No es difícil entonces comprender por qué es tan frecuente ver en los
medios de comunicación noticias sobre incidentes de seguridad
relacionados con el robo o pérdida de millones de números de tarjetas
de crédito o débito y el uso fraudulento de muchas de ellas.
Al parecer la legislación existente sobre la privacidad y protección de
datos no ha sido freno para los delincuentes digitales.
RISCCO Punto de vista
2
Los incidentes de seguridad se abren paso frente a la
legislación
En enero de 2009 una compañía procesadora de transacciones de pago de
tarjetas de crédito/débito reconoció haber sufrido un incidente de seguridad
relacionado con la pérdida de datos personales de sus clientes.
Esta compañía procesa cerca de 3.5 millones de transacciones diarias.
Aunque cuando se escribía este documento, dicha compañía no había
reconocido el número de registros de clientes comprometidos, los medios
estiman que serán más de 100 millones de registros con datos de las
tarjetas de crédito y débito.
¿Consecuencias? El valor de la acción bajó un 46% en solo tres días
desde que se hizo público el incidente. En marzo de 2009 Visa
Internacional revocó temporalmente la certificación de seguridad PCI
(Payment Card Industry) otorgada a esta compañía. Más aún, ya la
compañía ha sido demandada.
En los Estados Unidos, lugar donde ocurrió este incidente, existen muchas
leyes y regulaciones relacionadas sobre la privacidad y protección de
datos. Europa dispone de una legislación más extensa y madura que
Occidente en esta materia.
En Panamá, al menos las siguientes leyes o regulaciones establecen que
se tomen medidas concretas para proteger la privacidad y protección de
datos de los clientes:
•
Ley No. 43 de 2001 (Firmas y Documentos Electrónicos), artículo No.49-9.
•
Ley No.24 de 2002 (Historial de Crédito de Consumidores), artículos No. 1 y 5.
•
Acuerdo No. 1 de 2007, Superintendencia de Bancos, artículo No. 2.
•
Nueva Ley Bancaria de 2008, artículos No. 85 y 138-G.
•
Ley No. 6 de 2002 que regula aspectos de transparencia en el sector público.
Es evidente que regulaciones vigentes en Panamá en esta materia existen.
Es claro que las organizaciones deben cumplir con las regulaciones o al
menos estar trabajando para estar en cumplimiento.
Los entes reguladores y especialmente sus clientes no solo esperan sino
que exigen que sus datos personales, almacenados en sus redes,
computadores y dispositivos móviles (USB, teléfonos PDA, discos
compactos, entre otros), estén protegidos de manera efectiva.
Frente a la presión de los clientes, regulaciones y entes reguladores, una
estrategia para enfrentar el problema surge como una responsabilidad.
Dicha estrategia no solo hay que crearla sino que también hay que
implantarla y mantenerla operativa permanentemente.
RISCCO Punto de vista
3
¿Cómo enfrentar el problema de privacidad?
En una estrategia de privacidad y protección de datos, existen ciertos
preceptos que deberían darse por sentado. Revise que estos se den en su
organización, de lo contrario, trabaje primero en ellos. Estos son:
•
Las políticas y procedimientos de seguridad de la información deben
existir y tener cierto nivel de madurez.
•
La seguridad de información debe administrase preferentemente con
un enfoque que considere riesgo.
•
Es necesario definir claramente quién es el dueño los datos para los
diferentes procesos.
En adición a lo indicado, las organizaciones deben tener presente el
concepto del yin y yang para la privacidad de datos, es decir:
Clasificación de datos – determinar qué es confidencial o público,
regulaciones y legislaciones existentes con las que se debe cumplir.
Estructuras de soporte – seguridad de redes, software de
encriptación de datos, controles de accesos, políticas, procesos y
procedimientos de seguridad.
No cometa el error típico de “todo o nada”, es decir “encriptar todos los
datos” y así tratar de resolver el problema sin hacer el ejercicio de
clasificación. Si lo hace así, es probable que invierta tiempo y
recursos en proteger datos innecesariamente.
En su lugar, sugerimos un enfoque más práctico.
RISCCO Punto de vista
1.
El líder y dueño de este tipo de proyecto debe ser, preferiblemente,
el área de administración de riesgo o cumplimiento y no la de
tecnología/seguridad.
2.
Invariablemente utilice un enfoque basado en riesgo. De lo
contrario, el proyecto será muy extenso y costoso.
3.
Si el tamaño de su organización lo permite, debe crear la
posición de Oficial de Privacidad de Datos. Esta posición existe
cada día más sobre todo en la industria de servicios financieros.
De no ser posible, asigne la responsabilidad al oficial de
seguridad de información.
4.
Determine dónde y en qué formato están los datos personales
de sus clientes. Puede parecer una tarea innecesaria, pero no
lo es. ¿Solo pregúntese en cuántos dispositivos móviles (USB,
teléfonos PDA, etc.) pueden existir datos personales de sus
clientes?
4
5.
Compile y comprenda cada una de las regulaciones locales e
internacionales que debe cumplir. Muchos reguladores
internacionales como el PCAOB y SEC, por mencionar algunos,
ven positivo utilizar un enfoque basado en riesgo para cumplir
con las regulaciones existentes al respecto.
En este punto tengamos presente lo que la regulación solicita y
no lo que “me gustaría” cumplir.
6.
Identifique los procesos críticos de su organización y para cada
uno determine que regulación aplica.
7.
Establezca un proceso de clasificación de datos inherentes a
los procesos del punto anterior.
Tenga presente que los datos tienen tres características
(confidencialidad, integridad y disponibilidad). La clasificación
de datos debería considerar las tres. Si por recursos esto no es
posible, concéntrese en la característica de confidencialidad.
8.
Determine e implante los procedimientos y herramientas que
utilizará para proteger los datos. Esto tomará tiempo,
considerando que habrá que proteger datos mantenidos en
correos electrónicos, notebooks, desktops, dispositivos móviles
como USB, bases de datos, cintas de respaldo, entre otros.
9.
Establezca un proceso de monitoreo. Las regulaciones, la
tecnología y sobre todo los riesgos no son estáticos.
Somos de la opinión que los entes reguladores y los clientes no esperan
que se cumpla impecablemente y al 100% con todas las regulaciones. Más
bien las organizaciones deben demostrar que han sido diligentes en
proteger los datos de sus clientes.
RISCCO Punto de vista
5
Independencia. Integridad. Conocimiento. Credibilidad.
RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo,
negocios y auditoría interna.
Para mayor información sobre el contenido de este documento o conocer más sobre la forma
cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de
administración de riesgo, riesgos de tecnología o auditoría interna, por favor contáctenos.
[email protected]
Teléfono: +507 279-1410
RISCCO
Ave. Ricardo J. Alfaro
Panamá, Rep. de Panamá
www.riscco.com
© 2009 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está
registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.